Cyber Resilience Act: welke deadline geldt wanneer?
Vastgesteld 2026-06-14 · ≈ 1 min lezen · 
redactie Dirk Baaijen
De CRA (Verordening (EU) 2024/2847) trad op 12 november 2024 in werking. Belangrijkste data: aanmelding conformiteitsinstanties 11 juni 2026, meldplicht 11 september 2026, volledige toepassing 11 december 2027.
Kort antwoord: De Cyber Resilience Act trad op 12 november 2024 in werking, maar de verplichtingen gaan gefaseerd in: aanmelding conformiteitsinstanties geldt vanaf 11 juni 2026, de meldplicht vanaf 11 september 2026 en de volledige toepassing vanaf 11 december 2027.
De drie data die ertoe doen
De Cyber Resilience Act, voluit Verordening (EU) 2024/2847, is op 12 november 2024 in werking getreden. De verplichtingen worden echter niet in één keer van kracht, maar in drie stappen.
De eerste deadline is 11 juni 2026: vanaf dat moment geldt het regime voor de aanmelding van conformiteitsinstanties. Dit is de infrastructuur waarmee producten straks beoordeeld worden.
De tweede deadline is 11 september 2026: vanaf dan geldt de meldplicht voor actief misbruikte kwetsbaarheden en ernstige incidenten. Fabrikanten moeten deze melden bij ENISA en het relevante CSIRT.
De derde en bepalende deadline is 11 december 2027: vanaf dat moment is de verordening volledig van toepassing en gelden alle beveiligingseisen voor producten met digitale elementen.
Wat dit betekent voor transport en logistiek
De CRA raakt producten met digitale elementen, en dat omvat in deze sector veel: telematica-systemen, trackers en uiteenlopende IoT-apparatuur. Voertuigvolgsystemen, ladingmonitoring en aangesloten randapparatuur vallen onder de reikwijdte.
De eisen liggen bij fabrikanten, importeurs en distributeurs. Het gaat om secure-by-default-instellingen, het leveren van beveiligingsupdates, CE-markering en het doorlopen van een conformiteitsbeoordeling. Wie connected hardware inkoopt of doorverkoopt, krijgt daarmee ook een rol in de keten.
Hoe nu te handelen
Gebruik de periode tot december 2027 om in kaart te brengen welke aangesloten producten u op de markt brengt of distribueert, en welke leveranciers aantoonbaar aan de CRA voldoen. Houd er rekening mee dat de meldplicht al ruim een jaar eerder, op 11 september 2026, ingaat. Begin daarom tijdig met afspraken over kwetsbaarheidsmelding en updatebeleid met uw leveranciers.
Lees het hoofddossier: Cyber Resilience Act en connected producten. Of doe de Transport & Logistiek-scan.
Bronnen
- https://eur-lex.europa.eu/eli/reg/2024/2847/oj
Verordening (EU) 2024/2847 (Cyber Resilience Act); volledige toepassing 11 december 2027.
Lees ook
Cyber Resilience Act: wat moet ik van mijn leveranciers eisen?
Eis van leveranciers van trackers, telematica en IoT bewijs van CE-markering, conformiteitsbeoordeling, secure-by-default en updategaranties. Leg meldplicht en aansprakelijkheid contractueel vast vóór de volledige toepassing op 11 december 2027.
Valt mijn telematica-hardware onder de Cyber Resilience Act?
Ja. Telematica, trackers en IoT-apparatuur zijn producten met digitale elementen en vallen onder de Cyber Resilience Act (Verordening (EU) 2024/2847). Volledige toepassing geldt vanaf 11 december 2027.
Cyber Resilience Act: beveiligingseisen voor connected producten
De Cyber Resilience Act (Verordening (EU) 2024/2847) stelt EU-brede beveiligingseisen aan producten met digitale elementen — van telematica tot IoT-sensoren. Volledige toepassing op 11 december 2027, meldplichten al vanaf september 2026. Wat dat betekent voor transport en logistiek.